Inicio de zonavirus, antivirus
SATINFO

RootKits cazapasswords en el MBR generados por ficheros descargados por el Bredolab

msc hotline sat
jueves, 08 de octubre de 2009

Estamos detectando discos duros con el MBR (Master Boot Record) infectados con un RootKit cazapasswords con tecnicas Stealth, de forma que está oculto y si se arranca con él, lo carga en memoria pero no se ve dicha información en el sector 0.0.1 del disco duro, y asi consigue PASAR DESAPERCIBIDO.

Lo mas grave es que ello lo hemos detectado al monitorizar un Bredolab, que ha descargado y ejecutado ficheros, entre estos un temporal que nos ha cambiado el MBR (aun con tecnologia NT de los XP), y ha sobreescrito el código del MBR con dicho Rootkit...

Analizado dicho MBR con el VirusTotal vemos que se detecta como SINOWAL, pero no es detectado normalmente por estar donde está y como está !

Buscando información al respecto, parece que ya se detectaron mas de 500.000 cuentas bancarias hackeadas antaño, pero es que ahora ataca de nuevo ! Las variantes de Bredolab están de moda, y cada una descarga tropecientos troyanos, a cual peor, viejos y nuevos, pero este nos ha motivado una mayor investigacion.


_______


Harry Waldron
McAfee Maniac

Win32/Sinowal - MBR Rootkit with Password stealer impacts 500,000 accounts

--------------------------------------------------------------------------------

Users should ensure their AV protection is up-to-date, as a new variant of this highly stealth rootkit was launched during late October. Approximately 510,000 bank and credit card accounts have been impacted based on analysis so far. Removal of MBR based malware is always difficult and may ultimately require a complete reformatting of the hard drive and reinstallation of all software. It appears to spread through web based exploits, and users should be cautious with weblinks in email or sites that they visit.

Win32/Sinowal - MBR Rootkit with Password stealer impacts 500,000 accounts
http://voices.washingtonpost.com/sec...ts_500000.html

QUOTE: A single cyber crime group has stolen more than a half million bank, credit and debit card accounts over the past two-and-a-half years using one of the most advanced strains of computer spyware in existence, according to research to be published today. The discovery is among the largest stolen data caches ever recovered.

HOW IT SPREADS: When an unsuspecting Windows user visits one of these sites, the code left on the site tries to install the Trojan using one of several known Web browser security holes, such as vulnerabilities found in popular video and music player plug-ins like Macromedia Flash and Apple's QuickTime player.

IMPACT: RSA investigators found more than 270,000 online banking account credentials, as well as roughly 240,000 credit and debit account numbers and associated personal information on Web servers the Sinowal authors were using to set up their attacks

REMOVAL IS COMPLEX: Sinowal also is unique in that hides in the deepest recesses of a host computer, an area known as the "Master Boot Record." The MBR is akin to a computer's table of contents, a file system that loads even before the operating system boots up. According to security experts, many anti-virus programs will remain oblivious to such a fundamental compromise. What's more, completely removing the Trojan from an infected machine often requires reformatting the system and wiping any data stored on it.

_______



La maraña empieza cuando se ejecuta un fichero con una de las muchas variantes del Bredolab, que analizada por VirusTotal muestra la siguiente informacion:

File mhbupd32_03_.exe received on 2009.10.08 08:31:47 (UTC)


Result: 21/41 (51.22%)


Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Bredolab!IK
AhnLab-V3 5.0.0.2 2009.10.07 -
AntiVir 7.9.1.35 2009.10.08 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.05 -
Authentium 5.1.2.4 2009.10.08 -
Avast 4.8.1351.0 2009.10.07 -
AVG 8.5.0.420 2009.10.04 SHeur2.BIXO
BitDefender 7.2 2009.10.08 -
CAT-QuickHeal 10.00 2009.10.08 Backdoor.Bredolab.afw
ClamAV 0.94.1 2009.10.07 -
Comodo 2527 2009.10.07 -
DrWeb 5.0.0.12182 2009.10.08 Trojan.Botnetlog.11
eSafe 7.0.17.0 2009.10.06 -
eTrust-Vet 35.1.7056 2009.10.07 Win32/Bredolab.QL
F-Prot 4.5.1.85 2009.10.07 -
F-Secure 8.0.14470.0 2009.10.08 Backdoor.Win32.Bredolab.afw
Fortinet 3.120.0.0 2009.10.08 W32/Bredolab.AFW!tr.bdr
GData 19 2009.10.08 -
Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Bredolab
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.864 2009.10.07 -
Kaspersky 7.0.0.125 2009.10.08 Backdoor.Win32.Bredolab.afw
McAfee 5764 2009.10.07 Generic BackDoor!bbt
McAfee+Artemis 5764 2009.10.07 Generic BackDoor!bbt
McAfee-GW-Edition 6.8.5 2009.10.08 Trojan.Crypt.XPACK.Gen
Microsoft 1.5101 2009.10.08 TrojanDownloader:Win32/Bredolab.X
NOD32 4488 2009.10.07 Win32/TrojanDownloader.Bredolab.AA
Norman 6.01.09 2009.10.07 -
nProtect 2009.1.8.0 2009.10.08 -
Panda 10.0.2.2 2009.10.07 Suspicious file
PCTools 4.4.2.0 2009.10.07 -
Prevx 3.0 2009.10.08 Medium Risk Malware
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.08 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.07 -
Symantec 1.4.4.12 2009.10.08 Trojan Horse
TheHacker 6.5.0.2.033 2009.10.07 -
TrendMicro 8.950.0.1094 2009.10.08 -
VBA32 3.12.10.11 2009.10.08 -
ViRobot 2009.10.8.1975 2009.10.08 Backdoor.Win32.Bredolab.30208.F
VirusBuster 4.6.5.0 2009.10.07 Backdoor.Bredolab.RU
Additional information
File size: 30208 bytes
MD5...: 07355e76c707561c9cbeeb280c06534c
SHA1..: 643ca332cd07ae033777de50cc50636ff655d6a4

Debemos decir que el anterior analisis era del dia 5 y que algunos antivirus que ahora lo detectan (como NOD32) no lo detectaban, lo cual es propio de ser muy nuevo...

Pues tras la ejecucion de dicho Bredolab, descarga varios malwares, entre ellos el wpv231252512956.exe que es autoejecutado y deja residente un temporal que desaparece en la siguiente sesion, tras lograr modificar el MBR. Este exe es conocido solo por 6 antivirus actualmente:



File wpv231252512956.exe received on 2009.10.08 07:28:52 (UTC)

Result: 6/39 (15.38%)

Compact Print results Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Mebroot!IK
AhnLab-V3 5.0.0.2 2009.10.07 -
AntiVir 7.9.1.33 2009.10.07 -
Antiy-AVL 2.0.3.7 2009.10.05 -
Authentium 5.1.2.4 2009.10.08 -
Avast 4.8.1351.0 2009.10.07 -
AVG 8.5.0.420 2009.10.04 -
BitDefender 7.2 2009.10.08 Gen:Trojan.Heur.vqW@QwZ6Jqj
CAT-QuickHeal 10.00 2009.10.08 -
ClamAV 0.94.1 2009.10.07 -
Comodo 2527 2009.10.07 -
DrWeb 5.0.0.12182 2009.10.08 -
eSafe 7.0.17.0 2009.10.06 -
eTrust-Vet 35.1.7056 2009.10.07 -
F-Prot 4.5.1.85 2009.10.07 -
F-Secure 8.0.14470.0 2009.10.08 -
Fortinet 3.120.0.0 2009.10.08 -
GData 19 2009.10.08 Gen:Trojan.Heur.vqW@QwZ6Jqj
Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Mebroot
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.864 2009.10.07 -
Kaspersky 7.0.0.125 2009.10.08 -
McAfee 5764 2009.10.07 -
McAfee+Artemis 5764 2009.10.07 Artemis!32BA5AF5A8FD
McAfee-GW-Edition 6.8.5 2009.10.08 -
Microsoft 1.5101 2009.10.08 -
NOD32 4488 2009.10.07 -
Norman 6.01.09 2009.10.07 -
nProtect 2009.1.8.0 2009.10.08 -
PCTools 4.4.2.0 2009.10.07 -
Prevx 3.0 2009.10.08 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.08 -
Sunbelt 3.2.1858.2 2009.10.07 -
Symantec 1.4.4.12 2009.10.08 -
TheHacker 6.5.0.2.033 2009.10.07 -
TrendMicro 8.950.0.1094 2009.10.08 -
ViRobot 2009.10.8.1975 2009.10.08 -
VirusBuster 4.6.5.0 2009.10.07 Trojan.DL.Sinowal.Gen.13
Additional information
File size: 352256 bytes
MD5 : 32ba5af5a8fdc1287b03a25936642a29
SHA1 : 514d4fed75c30f781f064773273618845efd310a


y tras ello queda residente este 24.TMP que es el que modifica el MBR, detectado unicamente tambien por ahora por 6 antivirus:
File 24.tmp received on 2009.10.08 07:29:49 (UTC)

Result: 6/41 (14.63%)

Compact Print results Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Mebroot!IK
AhnLab-V3 5.0.0.2 2009.10.07 -
AntiVir 7.9.1.33 2009.10.07 -
Antiy-AVL 2.0.3.7 2009.10.05 -
Authentium 5.1.2.4 2009.10.08 -
Avast 4.8.1351.0 2009.10.07 -
AVG 8.5.0.420 2009.10.04 -
BitDefender 7.2 2009.10.08 Gen:Trojan.Heur.sqW@Q2JcXZ
CAT-QuickHeal 10.00 2009.10.08 -
ClamAV 0.94.1 2009.10.07 -
Comodo 2527 2009.10.07 -
DrWeb 5.0.0.12182 2009.10.08 -
eSafe 7.0.17.0 2009.10.06 -
eTrust-Vet 35.1.7056 2009.10.07 -
F-Prot 4.5.1.85 2009.10.07 -
F-Secure 8.0.14470.0 2009.10.08 Trojan:W32/Mebroot.gen!B
Fortinet 3.120.0.0 2009.10.08 -
GData 19 2009.10.08 Gen:Trojan.Heur.sqW@Q2JcXZ
Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Mebroot
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.864 2009.10.07 -
Kaspersky 7.0.0.125 2009.10.08 -
McAfee 5764 2009.10.07 -
McAfee+Artemis 5764 2009.10.07 -
McAfee-GW-Edition 6.8.5 2009.10.08 Heuristic.LooksLike.Win32.Dropper.I
Microsoft 1.5101 2009.10.08 -
NOD32 4488 2009.10.07 -
Norman 6.01.09 2009.10.07 -
nProtect 2009.1.8.0 2009.10.08 -
Panda 10.0.2.2 2009.10.07 -
PCTools 4.4.2.0 2009.10.07 -
Prevx 3.0 2009.10.08 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.08 -
Sunbelt 3.2.1858.2 2009.10.07 -
Symantec 1.4.4.12 2009.10.08 -
TheHacker 6.5.0.2.033 2009.10.07 -
TrendMicro 8.950.0.1094 2009.10.08 -
VBA32 3.12.10.11 2009.10.08 -
ViRobot 2009.10.8.1975 2009.10.08 -
VirusBuster 4.6.5.0 2009.10.07 -
Additional information
File size: 299008 bytes
MD5 : c13b588e581243441e97efb5b56d46d6
SHA1 : 4966d0fbbc00f682b733012a083a3fcf0d4c39c6


Finalmente, analizado el MBR creado, vemos:


File Mbr_HD received on 2009.10.08 08:43:13 (UTC)

Result: 7/41 (17.08%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.08 -
AhnLab-V3 5.0.0.2 2009.10.07 -
AntiVir 7.9.1.35 2009.10.08 BOO/Sinowal.E
Antiy-AVL 2.0.3.7 2009.10.05 -
Authentium 5.1.2.4 2009.10.08 -
Avast 4.8.1351.0 2009.10.07 -
AVG 8.5.0.420 2009.10.04 -
BitDefender 7.2 2009.10.08 -
CAT-QuickHeal 10.00 2009.10.08 -
ClamAV 0.94.1 2009.10.07 -
Comodo 2527 2009.10.07 -
DrWeb 5.0.0.12182 2009.10.08 BackDoor.MaosBoot
eSafe 7.0.17.0 2009.10.06 -
eTrust-Vet 35.1.7056 2009.10.07 -
F-Prot 4.5.1.85 2009.10.07 -
F-Secure 8.0.14470.0 2009.10.08 Backdoor.Win32.Sinowal.ezv
Fortinet 3.120.0.0 2009.10.08 -
GData 19 2009.10.08 -
Ikarus T3.1.1.72.0 2009.10.08 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.864 2009.10.07 -
Kaspersky 7.0.0.125 2009.10.08 Backdoor.Win32.Sinowal.ezv
McAfee 5764 2009.10.07 -
McAfee+Artemis 5764 2009.10.07 -
McAfee-GW-Edition 6.8.5 2009.10.08 Virus.Sinowal.E
Microsoft 1.5101 2009.10.08 Trojan:DOS/Sinowal.K
NOD32 4488 2009.10.07 -
Norman 6.01.09 2009.10.07 -
nProtect 2009.1.8.0 2009.10.08 -
Panda 10.0.2.2 2009.10.07 -
PCTools 4.4.2.0 2009.10.07 -
Prevx 3.0 2009.10.08 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.08 Troj/Mbroot-G
Sunbelt 3.2.1858.2 2009.10.07 -
Symantec 1.4.4.12 2009.10.08 -
TheHacker 6.5.0.2.033 2009.10.07 -
TrendMicro 8.950.0.1094 2009.10.08 -
VBA32 3.12.10.11 2009.10.08 -
ViRobot 2009.10.8.1975 2009.10.08 -
VirusBuster 4.6.5.0 2009.10.07 -
Additional information
File size: 512 bytes
MD5...: 08f20ad4a34f032b66e39bb75de31303
SHA1..: 26a07da2a4a2fd079b379d02228102fded72ec4f


Ningun problema cuando sabemos que está infectado el MBR, arrancamos con el CD de instalacion, entramos en consola de recuperacion y lanzamos un FIXMBR, pero cuando hacerlo ??? Lo dificil es detectar la infección en el MBR con Windows NT (XP, 2000, 2003, 2008, Vista) en marcha, y es lo que trataremos de conseguir.

Los ficheros intermedios ya los detectamos y eliminamos, pero cuando los vemos, el virus ya ha hecho su faena en el MBR... y posiblemente enviado passwords a direcciones remotas.

Si los ZBOT son peludos o duros de pelar, estos BOTKIT, MebRoot, MBRoot, o como se les quiera llamar. ya son calvos, todavía mas dificiles de pelar :)

Estamos en ello, seguiremos informando, pero mientras conviene tenerlo presente !

saludos

ms, 8-10-2009




NOTA: Recibido de un forero la confirmacion de la efectividad del ElistarA corrigiendo dicho RootKit de MBR, segun infosat.txt

27-10-2009 14:08:28 (GMT))
EliStartPage v19.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Octubre del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"
Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"
Eliminados Ficheros Temporales del IE
Detectado Trojan.Mebroot(mbr) en MBR del HD1
Restaurado MBR del HD1


Nos complace dicha información que nos confirma dicha efectividad ! :)

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook